ログデータは、デジタル資産をサイバー攻撃から保護するための重要なリソースとなり得ます。問題は、ITネットワークで生成されたすべてのログをチェックして理解しようとすることは、喉が渇いて死にそうだと訴える人に消防ホースを向けるようなものだということです。いくら水を切望しているとしても、一度にそのような大量の水を浴びせられたら飲むこともできません!
大量のログデータは、ソフトウェアアプリケーションやハードウェアデバイスから発生します。発生したイベントやトランザクションごとにタイムスタンプ付きのログファイルを自動的かつ継続的に配信するためです。マイクロソフトのシステムは Windows のイベントログファイルを生成し、UNIX サーバーとネットワークデバイスは Syslog スタンダードにしたがってログファイルを出力します。W3C/IIS ログファイルを作成するデバイスには、アプリケーションサーバー(Apache や IIS など)、ロードバランサ、ファイアウォール、プロキシサーバー、コンテンツセキュリティアプライアンスなどがあります。
大きいものでは、何十億ものログファイルを生成するネットワークさえあります。そのため、分析、保存、アーカイブ、そして最終的にはログの廃棄に至るまで、ログ管理のプロセスとポリシーをどのように合理的に実施するかが課題となります。情報の「消防ホース」、絶え間なく押し寄せる大量のログデータは、セキュリティとコンプライアンスを監視するIT部門に手に負えないほどの膨大な作業を送り込みます。
しかし、強力なセキュリティ体制を構築し、規制を遵守することが求められるIT部門は、ログデータの管理に長時間をかけるわけにはいかず、効率的に「水を飲む」方法を見つけ出す必要があります。このブログでは、ログの概要と、ログ管理プロセスをより効率的に機能させる方法について考察します。
リアルタイムログ分析でサイバー攻撃を検出
ログは、ITシステムで発生したイベントの記録を作成します。イベントは通常、ネットワークトラフィック、エラー信号、しきい値超過、累積カウントなど、監視されているアクティビティの流れの中で認識できるメッセージ、トークン、カウント、パターン、値、またはマーカーを表します。ユーザー生成イベントにはキーストロークやマウスクリックが含まれ、システム生成イベントには、オペレーティングシステム、アプリケーション、またはセキュリティイベントに関連する可能性のある、プログラムのロードやエラーが含まれます。
ネットワークのログイベントをリアルタイムで収集し分析できれば、進行中のサイバー攻撃を検出し、侵害されたデジタル資産の損害について把握できます。各ログファイルには貴重な情報が含まれており、適切に分析すれば、侵入の試み、機器の設定ミス、その他のネットワーク問題を解明できます。
ログ管理は、ネットワーク問題を解明するのに利用できるだけでなく、コンプライアンスも促進します。PCI DSS、HIPAA、SOX などの主要な規制は、ログを保持して定期的にチェックする必要を規定しています。
ログ分析を最適に実施できるのは、セキュリティ情報/イベント管理 (Security Information and Event Management、SIEM) ソフトウェアです。SIEM ソフトウェアは、ITインフラストラクチャに対する変更を追跡し、監査証跡を作成することができます。最先端の SIEM ソリューションは、データの収集と統合を自動化し、IT環境全体の複数のデバイスからのイベントを相互に関連付け、ログ管理の効率を高めます。
ログ管理をより効率化する方法
効果的な分析に重要なポイントの1つは、ネットワーク上の現在のアクティビティと通常のアクティビティを比較する機能を持つことです。通常のアクティビティから逸脱した動きがあれば、異常を簡単に検出して、問題の根本原因を掘り下げることができます。
サーバー、ファイアウォール、その他のネットワークデバイスに関するアクティビティの監視に加えて、ワークステーションとスマートデバイスのログも監視することが必要です。これらのデバイスは、エンドユーザーが USB に接続するといったイベントを検知します。ログを分析して、USB を接続したユーザーと、そのユーザーがその特定のデバイスへのアクセスを許可されているグループに属しているかどうかを確認できます。
ログ管理プロセスを効率化し、より効果的にするためには、以下のような点をチェックしてみてください。
- デバイスをチェックして、日付が正しく、時刻がすべてのシステム間で同期していることを確認します。問題を正しく診断するためにセキュリティイベントを相互に関連付けるときは、デバイスの刻時タイミングが正確に同期している必要があります。
- 過去12カ月間に発生した攻撃に関連するイベントを分析して、最近どのようなアクティビティがネットワーク侵害を引き起こしたかについて正確に把握しておくよう心がけます。
- 脅威インテリジェンスサービスが利用できれば、今後起こりそうな攻撃としてどのようなものが考えられるかを特定し、そのような攻撃を検出して阻止するためにどういったイベント警告を設定すればいいのかを検討します。自社のビジネスにとって最大の脅威となる攻撃は何かということを常に意識してください。
- ラップトップ、デスクトップ、サーバー、ネットワークデバイスからログを収集するための SIEM ソリューションのデフォルト設定は、ほとんどのセキュリティイベントについて十分な情報を提供するように設定されているので、これを活用するのが効果的です。
- 継続的なセキュリティイベントが発生した場合にのみ、ログファイルの詳細を設定に追加するようにして、情報の過多を回避します。イベントが収束したとき、追加の詳細情報収集の設定を外すことを忘れないようにしてください。
- モバイルデバイスから詳細なログデータを収集できることを確認します。SIEMソリューションの中には、モバイルデバイスから基本的なログ情報を抽出することができても、デスクトップから収集できるレベルの詳細な情報は得られないものもあります。
- ローカルシステムで詳細なログ情報を生成しても、重要なイベントのみをフィルタリングしてSIEMに送信するようにし、情報過多にならないよう留意します。フォレンジック調査を実行する必要が生じるまで、ローカルシステムが生成した詳細情報を取得することを延期することもできます。
以上のような点を考慮して、集中管理型の SIEM ソリューションを導入することになった場合は、できればいくつかを比較のためにテストして、どのソリューションが最も適切に機能するかを確認することが大切です。たとえば、10秒以内に回答を受け取る必要があるクエリの速度をテストします。長くかかればログ分析をしようとしなくなり、期待した効果が得られなくなります。
セキュリティとコンプライアンスには集中化されたログ管理が必須
集中化されたログ管理は、セキュリティとコンプライアンス対策の重要な要素です。ログを集中管理することで、個人データ(従業員情報、顧客情報、財務記録など)を含むファイルおよびフォルダに対するファイルアクセス、不正行為、ポリシー変更、その他の重要なアクティビティを監視、監査、およびレポートできます。
情報漏洩は、社外からも社内からも発生するので、集中化ログ管理で、Windows イベントログ、Syslog、そして W3C ログを監視する必要があります。Windows のイベントログを使用すると不満を持った従業員による有害なアクティビティを可視化でき、Syslog を使用するとネットワーク境界をコントロールできます。
Windows システムには、一貫して監視する必要があるいくつかの異なるイベントログがあります。最も重要なのは、誰がネットワークにログオンしていて何をしているのかについての重要な情報を提供するセキュリティログです。セキュリティシステムに脆弱性があるのかどうかを把握するのにも役立ちます。
Syslog は、ネットワーク上でログメッセージを転送する標準規格であるログ転送プロトコルです。ネットワークデバイス、UNIX および Linux システム、ソフトウェアやハードウェアのプラットフォームが、Syslog を実装してログファイルを収集して集中ログ管理リポジトリに転送します。Syslog で、デバイスのステータスに関する詳細な情報を取得できるので、その情報を解析し、運用上またはパフォーマンス上のパターンの変化が見られれば通常でない動作として識別できます。
Syslog のログデータを保存しておけば、ネットワークの信頼性とデータ保護に影響を与える可能性のあるイベントを追跡するための監査ログを提供でき、コンプライアンスの一翼を担うことが可能です。すべての情報を管理していることを監査人に証明する手段になります。
W3C は、ユーザーとサーバーのアクティビティに関する情報を提供し、これらのログ情報を監視することで、システムを危険にさらす不正な試みを検出するのに役立ちます。
Web サーバーの IIS ログファイルは、カスタマイズできない固定 ASCII フォーマットです。これらのログには、ユーザーの IP アドレス、ユーザー名、リクエストの日時、ステータスコード、受信バイト数などの基本的な項目を含め、他のログファイル・フォーマットよりも多くの情報が記録されます。IIS ログファイル・フォーマットには、経過時間、送信バイト数、アクション、ターゲットファイルなどの詳細項目が含まれます。
情報の「消防ホース」の管理
集中管理型ログ管理ソリューションの1つが、Log Managementです。リアルタイムのイベントログ監視と警告機能があり、スケーラブルなログ収集、高速検索、ログ分析、レポート作成などが簡単に行えます。
Log Management のような集中化されたログ管理ソリューションを導入すると、脅威の検出とコンプライアンスのニーズを満たすことができ、システムによって生成される膨大な量のログ情報を簡単に管理できます。ログデータをリアルタイムにアクセスし、セキュリティ侵害の原因となる可能性があるイベントをフィルタリングして特定できます。ログ情報の「消防ホース」の管理は、このようなソリューションを使って簡単に行うことができます。